Zsaroló programok: sok vállalat megadja magát

A zsaroló programok ellen manapság már csak több szinten felállított védelmi arzenállal lehet megfelelően védekezni.
 

A zsaroló vírusok veszélyeivel napjainkban már szinte minden cégvezető és informatikai szakember tisztában van. A megfelelő védekezési stratégiával kapcsolatban azonban továbbra is sok vállalatnál tanácstalanok az illetékesek. Ahhoz, hogy egy szervezetnél minden támadási felületet megfelelően védhessenek, pontosan kell ismerni a támadók módszereit és stratégiáit.
 
"A ransomware-ek rendkívül összetett, gondosan megszerkesztett programok, amelyeket ráadásul folyamatosan továbbfejlesztenek, hogy ellenálljanak az újabb és újabb védekezési módszereknek. Egy zsarolóvírus nem csupán a fájlokat titkosítja, de arról is gondoskodik, hogy nehéz legyen megakadályozni a tevékenységét, és kiirtani a rendszerből. Például törli az árnyékmásolatokat, módosítja a rendszerindítást, elkezdi továbbterjeszteni önmagát, és az egyszerűbb vírusirtókat is képes megkerülni. Ilyen összetett fenyegetés ellen csak többszintű védelem nyújthat megoldást" - foglalta össze Gömbös Attila, a Trend Micro rendszermérnöke.
 
Összehangolt, átfogó támadások
 
Amikor egy vállalat informatikai szakembere azt észleli, hogy zsaroló program került a szervezet rendszerébe, és titkosította a fájlokat, akkor az első logikus lépés az, hogy leválasztja a fertőzött számítógépet a hálózatról. Majd megpróbálja megtisztítani az érintett gépet és helyreállítani a fájlokat. Azonban ilyenkor lépnek akcióba a ransomware különféle önvédelmi funkciói. Gyakori módszerek közé tartozik például az árnyékmásolatok törlése. Ezt a technikát alkalmazza többek között a CrypWall, a Locky, a Cerber és a Cryptesla is.
 
Akad olyan zsaroló program is, mint például a Petya, amely többek között arra is képes, hogy átírja vagy törölje az MBR-ben lévő bejegyzéseket. Ezáltal nem lehet újraindítani az operációs rendszert, így még nehezebb helyreállítani a fájlokat. Szintén nehezítheti a probléma elhárítását az, ha a vírus automatikusan terjeszteni kezdi magát a hordozható adattárolókon és a megosztott hálózati meghajtókon keresztül. Ezt teszi például a Zcryptor nevű ransomware is.
 
Támadás minden irányból
 
Egy ransomware számos különféle ponton hatolhat be egy vállalati rendszerbe. A leggyakoribb módszer az e-mailes terjesztés, amelyet a TorrentLocker készítői fejlesztettek tökélyre. Ez a szerzemény Ausztráliában és Európában okoz komoly károkat. A vírus célországtól függően testre szabja az üzeneteket. Ausztráliában például úgy néztek ki az eddigi levelei, mintha azok az ausztrál rendőrségtől, a postától vagy valamelyik helyi vállalattól érkeztek volna. Az üzeneteket ráadásul csak releváns e-mail címekre küldték ki a vírusterjesztők, így a levélszemétszűrőket is elkerülték. Az ilyen módon terjesztett levelek tipikusan valamilyen álcázott, rosszindulatú mellékletet tartalmaznak, például makrók vagy JavaScript kódok formájában, amelyek a vírus letöltőprogramjaként szolgálnak.
 
Zsaroló programok feltört weboldalakról is letöltődhetnek a felhasználók gépére. 2015 decemberében például a The Independent hírportál blogoldalát törték fel, és használták a TeslaCrypt 2.0 terjesztésére a csalók. Számos ransomware családot pedig biztonsági rések kihasználására alkalmas exploit kitek segítségével terjesztenek.
 
Kulcsfontosságú a többszintű védelem
 
A biztonsági cég szerint egyre több vállalatnál inkább arra készülnek fel, hogy baj esetén azonnal fizethessenek és visszakaphassák a fájlokat. Ez azonban rendkívül rossz módszer, hiszen akiről már biztosan tudják a kiberbűnözők, hogy kifizeti a váltságdíjat, azt később nagyobb valószínűséggel állíthatják célkeresztbe.
 
A biztonsági mentések készítése elengedhetetlen. Emellett azonban olyan többszintű védelemre és átfogó stratégiára van szükség, amely a végpontoktól a hálózatokon át egészen a szerverekig, az informatikai rendszer több pontján gondoskodik az egész IT-környezet biztonságáról.